【文章內(nèi)容簡介】 共 26 頁 （一）從事電子銀行安全評估的部門必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門和運(yùn)營部門； （二）從事電子銀行安全評估的部門未直接參與過有關(guān)電子銀行設(shè)備的選購工作。 第十條中國銀監(jiān)會負(fù)責(zé)電子銀行安全評估機(jī)構(gòu)資格認(rèn)定工作。電子銀行安全評估機(jī)構(gòu)資格認(rèn)定工作，每年組織一次。 電子銀行安全評估機(jī)構(gòu)在從事金融機(jī)構(gòu)電子銀行安全評估業(yè)務(wù)之前，應(yīng)向中國銀監(jiān)會申請 對其資格進(jìn)行認(rèn)定。 第十一條申請資格認(rèn)定的電子銀行評估機(jī)構(gòu)，應(yīng)在中國銀監(jiān)會公告的時限內(nèi)提交以下材料（一式七份）： （一）電子銀行安全評估資格認(rèn)定申請報(bào)告； （二）機(jī)構(gòu)介紹； （三）安全評估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等； （四）評估手冊或評估指導(dǎo)文件； （五）主要評估人員簡歷； （六）中國銀監(jiān)會要求提供的其他文件和資料。 第十二條中國銀監(jiān)會收到安全評估機(jī)構(gòu)資格認(rèn)定的完整材料后三個月內(nèi)，組織有關(guān)專家和監(jiān)管人員對申請材料進(jìn)行評議 ，采用投票的辦法決定電子銀行安全評估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。 第十三條中國銀監(jiān)會對評估機(jī)構(gòu)資質(zhì)評議后，出具《電子銀 第 12 頁 共 26 頁 行安全評估機(jī)構(gòu)資格認(rèn)定意見書》，載明評議意見，對評估機(jī)構(gòu)的資格作出認(rèn)定。 第十四條中國銀監(jiān)會出具的《電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書》，僅供評估機(jī)構(gòu)與開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)商恰有關(guān)電子銀行評估業(yè)務(wù)時使用，不影響評估機(jī)構(gòu)開展其他經(jīng)營活動。 評估機(jī)構(gòu)不得將《電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書》用于宣傳或其他活動。 第十五條經(jīng)中國銀監(jiān)會評議并被認(rèn)為達(dá)到 有關(guān)資質(zhì)要求的評估機(jī)構(gòu)，每次資格認(rèn)定的有效期為兩年。 經(jīng)評議未達(dá)到認(rèn)定資格的，評估機(jī)構(gòu)可在下一年度重新申請資格認(rèn)定。 第十六條在有效期內(nèi)，電子銀行安全評估機(jī)構(gòu)如果出現(xiàn)下列情況，中國銀監(jiān)會將撤銷已做出的評議和認(rèn)定意見： （一）評估機(jī)構(gòu)管理不善，其工作人員泄露被評估機(jī)構(gòu)秘密的； （二）評估工作質(zhì)量低下，評估活動出現(xiàn)重要遺漏的； （三）未按要求提交評估報(bào)告，或評估報(bào)告中存在不實(shí)表述的； （四）將《電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書》用于宣傳和其他經(jīng)營活動 的； 第 13 頁 共 26 頁 （五）存在其他嚴(yán)重不盡職行為的。 第十七條評估機(jī)構(gòu)有下列行為之一的，中國銀監(jiān)會將在一定期限或無限期不承接評估機(jī)構(gòu)的資格認(rèn)定請求，銀行業(yè)金融機(jī)構(gòu)不應(yīng)再委托該評估機(jī)構(gòu)進(jìn)行安全評估： （一）與委托機(jī)構(gòu)合謀，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報(bào)告； （二）在評估過程中弄虛作假，編造安全評估報(bào)告； （三）泄漏銀行機(jī)密信息，或不當(dāng)使用銀行機(jī)密資料； 銀行業(yè)金融機(jī)構(gòu)內(nèi)部評估機(jī)構(gòu)出現(xiàn)以上情況之一的，中國銀監(jiān)會將按照有關(guān)法律法規(guī)和行政規(guī)章 的規(guī)定，對相關(guān)責(zé)任人進(jìn)行處罰。 第十八條中國銀監(jiān)會認(rèn)可的電子銀行安全評估機(jī)構(gòu)，以及有關(guān)資格認(rèn)定撤銷決定等信息，僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)，不向社會公布。 第十九條金融機(jī)構(gòu)不得向第三方泄露中國銀監(jiān)會的有關(guān)通報(bào)信息，影響外部機(jī)構(gòu)的其他業(yè)務(wù)活動，也不得將有關(guān)信息用于與電子銀行安全評估活動無關(guān)的其他業(yè)務(wù)活動。 第二十條開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以在中國銀監(jiān)會認(rèn)可的評估機(jī)構(gòu) 范圍內(nèi)，自主選擇安全評估機(jī)構(gòu)，簽訂書面服務(wù)協(xié)議。 金融機(jī)構(gòu)選擇內(nèi)部部門作為評估機(jī)構(gòu) 時，應(yīng)由電子銀行運(yùn)營 第 14 頁 共 26 頁 部門與評估部門簽訂評估責(zé)任確定書。 第二十一條金融機(jī)構(gòu)與評估機(jī)構(gòu)簽訂的服務(wù)協(xié)議中，必須含有明確的保密條款和保密責(zé)任。 第二十二條安全評估機(jī)構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定，認(rèn)真履行評估職責(zé)，真實(shí)評估被評估機(jī)構(gòu)電子銀行運(yùn)營的安全狀況。 第三章安全評估的實(shí)施 第二十三條評估機(jī)構(gòu)在開始電子銀行安全評估之前，應(yīng)就評估的范圍、重點(diǎn)、時間與要求等問題，與被評估機(jī)構(gòu)進(jìn)行充分的溝通，制定評估計(jì)劃，由雙方簽字認(rèn)可。 第二十四條依據(jù)評估計(jì)劃，評估機(jī)構(gòu)進(jìn)場對委托機(jī)構(gòu)的電 子銀行安全進(jìn)行評估。電子銀行安全評估應(yīng)真實(shí)、全面地評價電子銀行系統(tǒng)的安全性。 第二十五條電子銀行安全評估至少應(yīng)包括以下內(nèi)容： （一）安全策略； （二）內(nèi)控制度建設(shè)； （三）風(fēng)險管理狀況； （四）系統(tǒng)安全性； （五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃； （六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃； （七）電子銀行風(fēng)險預(yù)警體系； （八）其他重要安全環(huán)節(jié)和機(jī)制。 第 15 頁 共 26 頁 第二十六條電子銀行安全策略的評估，至少應(yīng)包括以下內(nèi)容： （一） 安全策略制定的流程與合理性； （二）系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略； （三）系統(tǒng)測試與驗(yàn)收的安全策略； （四）系統(tǒng)運(yùn)行與維護(hù)的安全策略； （五）系統(tǒng)備份與應(yīng)急相關(guān)策略。 評估機(jī)構(gòu)對金融機(jī)構(gòu)安全策略的評估，不僅要評估安全戰(zhàn)略、規(guī)章制度和程序是否存在，還要評估這些制度是否能得到貫徹執(zhí)行，是否能做到及時更新，是否能全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。 第二十七條電子銀行內(nèi)控制度的評估，應(yīng)至少包括以下內(nèi)容： （一）高級管理層對電子銀行安全的認(rèn)知能力與水平； （二）安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行； （三）內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行。 第二十八條電子銀行風(fēng)險管理狀況的評估，應(yīng)至少包括以下內(nèi)容： （一）電子銀行管理機(jī)構(gòu)設(shè)置的合理性與其他部門的協(xié)調(diào)性； （二）電子銀行管理部門主要負(fù)責(zé)人對電子銀行的熟知程度； （三）管理人員配備與培訓(xùn)情況； （四）電子銀行風(fēng)險管理的規(guī)章制度與操作規(guī)定、程序等； （五）電子銀行業(yè)務(wù)風(fēng)險管理狀況； （六）業(yè)務(wù)外包管理制度